Hacking tool per simulare cyber attacchi: quali sono e come funzionano

Comunemente gli hacking tool sono essenzialmente identificati come software scritti appositamente per essere utilizzati in contesti malevoli, ma non sempre è così.

Cosa si intende per hacking tool

Nel panorama degli attacchi moderni i Threat Actor (TA) o in italiano attori delle nuove minacce informatiche, si sono evoluti valutando nuove varie strategie per le “attività” di tutti i giorni come:

• ricognizione infrastrutturale
• esecuzione di payload via network
• security software “bypass” o “disable”

e molto altro ancora.

Gran parte dei nuovi approcci riguardano, appunto, l’utilizzo improprio di strumenti comunemente utilizzati dal personale sistemistico per eseguire troubleshooting o analisi di rete.

Questo fattore rende piuttosto difficile entrambe le fasi critiche nella gestione di un potenziale incidente; ovvero, incrementa la difficoltà di detection di anomalie, unitamente a rendere quasi impossibile un approccio automatico di response ad eventi scaturiti da “HackTools” di origine verificata e spesso firmati da trusted authorities.

Questo tipo di casistiche per chi offre servizi di sicurezza risulta essere la più complessa da gestire e gran parte della ricerca e sviluppo viene spesso investita nell’ingegnerizzazione di regole euristico comportamentali atte a riconoscere attività malevole talvolta eseguite con metodi non convenzionali.

Gli hacking tool sono software o dispositivi progettati per identificare, sfruttare o mitigare le vulnerabilità dei sistemi informatici. Possono essere utilizzati per una varietà di scopi, sia legittimi che illegittimi.

Scopi legittimi degli hacking tool:

• Sicurezza informatica: gli hacker etici utilizzano gli hacking tool per identificare e correggere le vulnerabilità nei sistemi informatici prima che possano essere sfruttate da malintenzionati.
• Test di penetrazione: sono simulazioni di attacchi informatici condotti da hacker etici per valutare la sicurezza di un sistema informatico. Gli hacking tool vengono utilizzati durante i test di penetrazione per eseguire scansioni di vulnerabilità, tentare exploit e raccogliere informazioni sui sistemi target.
• Ricerca sulla sicurezza informatica: si utilizzano gli hacking tool per studiare le vulnerabilità dei sistemi informatici e sviluppare nuovi metodi per difendersi dagli attacchi.

Scopi illegittimi degli hacking tool:

• Attacchi informatici: i criminali informatici utilizzano gli hacking tool per rubare dati, danneggiare sistemi informatici o estorcere denaro alle vittime.
• Spionaggio informatico: governi e aziende utilizzano gli hacking tool per spiare i propri cittadini o concorrenti.
• Cyberwarfare: gli stati nazionali utilizzano gli hacking tool per attaccare le infrastrutture informatiche di altri paesi.

Esistono molti tipi diversi di hacking tool, ognuno con il proprio scopo specifico. Alcuni esempi comuni includono:

• Scanner di vulnerabilità: questi strumenti scansionano i sistemi informatici alla ricerca di vulnerabilità note.
• Exploit: sfruttano le vulnerabilità nei sistemi informatici per ottenere l’accesso non autorizzato.
• Sniffer di rete: catturano il traffico di rete che passa su una wi-fi.
• Strumenti di ingegneria sociale: sono utilizzati per ingannare le persone affinché rivelino informazioni sensibili o eseguano azioni dannose.
• Malware: software dannoso progettato per danneggiare i sistemi informatici o rubare dati.

Come funzionano gli hacking tool

Gli hacking tool funzionano in modo diverso in base allo strumento stesso: è importante comprendere, però, che spesso strumenti sviluppati per assolvere una certa funzione benevola vengono rivalutati e sfruttati dagli attaccanti per l’esecuzione di codice malevolo come nel caso dei LOLBINS Live Off The Land Binaries o LOLDRIVERS Living Off The Land Drivers.

Questi sono strumenti legittimi utilizzati tramite GUI (Graphic User Interface) o in modalità console dagli attaccanti per sfruttare svariate funzioni passando inosservati ai sistemi di detection.

Solitamente, l’utilizzo di hacking tool da parte del threat actor viene fatto in funzione di una specifica necessità che si viene a creare durante le varie attività eseguite durante la compromissione di un’infrastruttura, come nel caso più comune della disattivazione dei softwares di sicurezza (antivirus ed EDR).

Quali hacking tool usano gli hacker

Come preannunciato nei precedenti paragrafi, gli attaccanti utilizzano hacking tool per ogni tipo di situazione in base alle necessità del momento.

Andiamo quindi ad analizzare nei principali step della compromissione di un’infrastruttura quali sono gli strumenti più utilizzati dai Threat Actor per portare a termine gran parte delle loro attività malevole.

Ricognizione

Per questo step, dove è necessario comprendere l’esposizione di un’infrastruttura a possibili CVE o autenticazioni deboli, gli attaccanti hanno l’imbarazzo della scelta: possono utilizzare

• software open source come Zgrab Scanner
• scriverne uno personalizzato
• utilizzare strumenti commerciali come Qualys, Nessus o altri vulnerability scanner facilmente reperibili.

Altri tipi di Threat Actor, invece, preferiscono stare su approcci più manuali, utilizzando quindi strumenti come Nmap al fine di comprendere solamente le porte disponibili per poi eseguire ulteriore ricognizione e indagini manualmente.

Scansione

In questo caso, l’attaccante è dentro l’infrastruttura, quindi il suo obbiettivo è uno e uno soltanto: capire quanto più possibile com’è strutturato il network.

Per portare a termine questa missione il set di strumenti che si possono utilizzare è abbastanza vasto, in quanto si possono usare strumenti come

Nmap

Angry IP Scanner

Advanced IP Scanner

Lansweeper

e molti altri ancora.

Come avrete notato, ho nominato principalmente tools commerciali o comunque disponibili gratuitamente su internet, questo proprio perché all’attaccante non piace troppo “correre rischi” con software personalizzati e potenzialmente sospetti ai software di sicurezza installati sui dispositivi.

Anche perché l’alert che fa scattare una response immediata è sempre dietro l’angolo.

Privilege Escalation

La privilege escalation è una delle fasi più importanti di tutte: infatti, qui avviene la “magia” dell’evasion di eventuali software di sicurezza unitamente all’utilizzo di exploit utili a far guadagnare più privilegi all’interno dell’infrastruttura attaccata.

Molto spesso l’attaccante si ritrova con utenze guest non sempre in grado di elevarsi direttamente nel dispositivo a cui è autenticato; quindi, in suo aiuto vengono tool come

• ProcessHacker
• Mimikatz
• PsExec

e in questo caso anche strumenti scritti appositamente al fine di essere il più veloci ed efficaci possibili a raggiungere la meta, ovvero: Domain Admin.

In questa situazione, correre qualche rischio è giustificato; anzi, ogni mezzo è giustificato al fine della privesc.

Esfiltrazione

Nell’esfiltrazione gli strumenti più in voga rimangono come sempre softwares leciti come

• Rclone
• AnyDesk
• TeamViewer
• Supremo
• WinSCP

L’utilizzo di questi strumenti è divenuto così mainstream dai Threat Actor che un buon SOC (Security Operation Center) non può non avere queste keyword tra le regole di detection o comunque di correlazione.

In altri casi particolari, l’utilizzo di strumenti d’esfiltrazione personalizzati premia l’attaccante in quanto questi permettono di modulare l’utilizzo delle sessioni ed eseguire attività di shaping specifiche utili a passare inosservati durante l’attività di upload.

Persistenza

Inserire persistenze risulta uno step fondamentale nella compromissione di un’infrastruttura informatica. Questo consente all’attaccante di rientrare a piacimento nei vari sistemi compromessi anche nel caso gli venisse impedito l’accesso tramite vie “convenzionali”, ma non solo, le persistenze possono essere utilizzate per l’esecuzione di comandi e/o malware in determinate finestre temporali o all’avvenire di un determinato evento.

Per questo tipo d’attività gli attaccanti utilizzano spesso scripts personalizzati scritti utilizzando i più svariati linguaggi, solitamente per una maggior efficacia vengono implementate tecniche di persistenza direttamente nei malware utilizzati durante la compromissione o negli strumenti utilizzati negli step subito successivi alla privilege escalation., in quanto spesso per eseguire questo tipo d’attività è richiesta una credenziale privilegiata.

Copertura delle tracce

La fase di copertura delle tracce viene solitamente portata a termine con software scritti dagli attaccanti: questi possono essere binari eseguibili o più semplicemente scripts in Bash, Batch, VBS, PowerShell o quant’altro possa eseguire la cancellazione dei registri di logs locali e sui dispositivi remoti anche sfruttando strumenti come WMI, RPC, ssh e GPOs.

Quali sono gli hacking tool più famosi

Ora che abbiamo un’idea di massima sulle tipologie di strumenti utilizzati dagli attaccanti, facciamo qualche nome di software molto in voga tra chi l’offensive security la fa senza contratto ma con riscatto.

1. Nmap. Tool per la scansione della rete, gli utenti più capaci hanno la possibilità di personalizzare l’azione dello strumento aggiungendo scripts nella versione con GUI, mentre per i fuoriclasse dell’automation non c’è limite utilizzandolo tramite command line.
2. AngryIpScanner. Tool per la scansione della rete, un tool molto diffuso tra il personale sistemistico che ha bisogno di mappare i dispositivi raggiungibili nella rete aziendale. Gli attaccanti utilizzano questo strumento sia per la sua versatilità che per l’affidabilità nei risultati erogati,
3. LinPeas/WinPeas. Hacking tool specificatamente creato al fine di trovare ed in caso di piccole modifiche al codice, sfruttare, vulnerabilità specifiche nel sistema operativo (Linux, MAC o Windows) utili ad attività di privilege escalation.
4. Mimikatz. Hacking tool nato come software per testare la sicurezza degli endpoint di rete e scritto dallo sviluppatore Benjamin Delpy, ad oggi utilizzato come il coltellino svizzero dell’attaccante. Grazie a questo strumento solitamente i threat actor sono in grado di esfiltrare hash relative credenziali utilizzate nei dispositivi o addirittura, in certi casi, direttamente le credenziali in chiaro pronte all’uso.
5. PsExec. Tool appartenente alla suite Sysinternals Suite che, come molti, altri fa spesso parte dell’arsenale dell’attaccante. Questo perché’ permette facile elevazione di privilegi locali oltre a fornire svariate funzionalità di shell remote via rete e lateral movement agevolato a portata di script.
6. LolBas/LolDrivers. Living Off The Land Bins & Drivers sono due elenchi curati di eseguibili driver Windows utilizzati dagli avversari per aggirare i controlli di sicurezza ed eseguire attacchi. Il progetto aiuta i professionisti della sicurezza a rimanere informati e a mitigare le potenziali minacce.

Come si combatte il crimine informatico organizzato

La risposta non è mai semplice come “acquista questo” o “fai quest’altro”.

A oggi, le minacce sempre più in evoluzione unitamente a un’organizzazione sempre più raffinata dei Threat Actor che porta una naturale continua evoluzione delle tecniche e tattiche impiegate negli attacchi, non possono essere combattute con semplici (o anche complessi) software di sicurezza.

È necessario armarsi di un team di specialisti altamente preparati a combattere questo tipo d’incursioni informatiche, e non tutte le aziende di sicurezza possono vantare un livello adeguato a soddisfare il requisito minimo per essere pronti al peggio.

Come diceva Sun Tzu, “La vera vittoria è la vittoria sull’aggressione, una vittoria che rispetti l’umanità del nemico rendendo così inutile un ulteriore conflitto”.